Ransomware-Erpresser nutzen die BlueHammer-Schwachstelle (CVE-2026-33825) in Microsoft Defender aus, um SYSTEM-Rechte zu erlangen.
Die US-Cybersicherheitsbehörde CISA hat bestätigt, dass Ransomware-Gruppen eine schwerwiegende Schwachstelle zur Rechteausweitung in Microsoft Defender aktiv ausnutzen. Die als BlueHammer bekannte Sicherheitslücke wird unter der Kennung CVE-2026-33825 geführt. Die CISA aktualisierte ihren KEV-Katalog (Known Exploited Vulnerabilities) am Montag und fügte den konkreten Hinweis auf die Nutzung in Ransomware-Kampagnen hinzu. Bereits am 22. April wurde die Lücke in den Katalog aufgenommen, woraufhin US-Behörden bis zum 7. Mai Zeit für die Behebung erhielten.
Risiken durch Zugriff auf SAM-Datenbank
Laut einer Sicherheitsmeldung von Microsoft ermöglicht eine unzureichende Granularität der Zugriffskontrolle in Microsoft Defender einem autorisierten Angreifer, lokale Privilegien auszuweiten. Will Dormann, Sicherheitsanalyst bei Tharros, erklärte, dass die Ausnutzung zwar nicht einfach sei, lokalen Angreifern jedoch Zugriff auf die Security Account Manager (SAM)-Datenbank gewähre. Diese enthält die Passworthashes lokaler Konten. Mit diesem Zugriff können Angreifer SYSTEM-Rechte erlangen.
„Ab diesem Zeitpunkt gehört das System im Grunde den Angreifern, und sie können Dinge tun wie eine Shell mit SYSTEM-Privilegien zu starten.“
Will Dormann, Sicherheitsanalyst bei Tharros
Herkunft der Sicherheitslücke im Microsoft Defender und Patch-Historie
Ein Sicherheitsforscher mit dem Pseudonym Nightmare Eclipse hat den Exploit-Code für BlueHammer Anfang April veröffentlicht. Dies geschah als Protest gegen das Verfahren des Microsoft Security Response Center bei der Offenlegung von Schwachstellen. Microsoft schloss die Sicherheitslücke am 14. April im Rahmen des April-Patchdays. Kurze Zeit später stellten Forscher von Huntress Labs fest, dass Angreifer die Lücke bereits vor dem Patch als Zero-Day-Schwachstelle im Rahmen von aktiven Angriffen ausnutzten.
Nightmare Eclipse hat in den vergangenen Monaten weitere Windows-Zero-Day-Schwachstellen offengelegt, die teilweise Microsoft Defender, BitLocker oder andere Windows-Komponenten betreffen.
Dazu gehören folgende Schwachstellen:
- RoguePlanet
- RedSun
- GreenPlasma (im Juni-Patchday behoben)
- MiniPlasma (im Juni-Patchday behoben)
- YellowKey (im Juni-Patchday behoben)
- UnDefend
In den vergangenen Jahren hat die CISA insgesamt acht Schwachstellen in Microsoft Defender registriert, die in Angriffen ausgnutzt wurden. Zwei davon wurden gezielt von Ransomware-Banden angegriffen.